search close

テーマ別対策
- 課題別
  - 課題別
    - 課題別
      詳しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象領域）の監視により、コンプライアンスに準拠します。
      詳しくはこちら
  - クラウドネイティブアプリケーションの保護
    - クラウドネイティブアプリケーションの保護
      
      クラウドネイティブなアプリケーションの開発スピードを阻害しないセキュリティを提供します。
      詳しくはこちら
  - ハイブリッドクラウド環境を保護
    - ハイブリッドクラウド環境を保護
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。
      詳しくはこちら
  - ボーダーレス環境をセキュアに
    - ボーダーレス環境をセキュアに
      
      ID、エンドポイント、メール、モバイル、Webを保護し、ユーザが使用するツールから生じるリスクを軽減します。
      詳しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工場フロアまで、ネットワーク全体を保護します。
      詳しくはこちら
  - より迅速な対応を実現
    - より迅速な対応を実現
      
      脅威の把握と対処を加速し、SOCおよびITセキュリティチームの負担を軽減します。
      詳しくはこちら
  - リソースの最適化
    - リソースの最適化
      
      積極的なリスク軽減対策とマネージドセキュリティサービスで効果を最大化します。
      詳しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを強化するために
      詳しくはこちら
- 役割別
  - 役割別
    - 役割別
      詳しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なCyber Risk Exposure Management、セキュリティソリューションにより、現在および未来のニーズを満たします。
      詳しくはこちら
  - SOC責任者
    - SOC責任者
      
      エンタープライズサイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象領域）のサイロ化、複雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      詳しくはこちら
  - ITインフラ責任者
    - ITインフラ責任者
      
      セキュリティを進化することで、より少ないリソースでより多くの保護を実現し、脅威を迅速かつ効果的に軽減します。
      詳しくはこちら
  - クラウド構築者・開発者
    - クラウド構築者・開発者
      
      セキュリティを強化しながら、革新的なアプリケーションをオンタイムで提供できます。
      詳しくはこちら
  - クラウド運用者
    - クラウド運用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの複雑さを解決し、コンプライアンス順守を支援します。
      詳しくはこちら
- 業種別
  - 業種別
    - 業種別
      詳しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
      詳しくはこちら
  - 自治体
    - 自治体
      
      住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
      詳しくはこちら
  - 学校・教育委員会
    - 学校・教育委員会
      
      教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
      詳しくはこちら
  - 教育・大学
    - 教育・大学
      
      個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
      詳しくはこちら
  - 製造業
    - 製造業
      
      工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
      詳しくはこちら
  - 金融
    - 金融
      
      Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
      詳しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
      詳しくはこちら
  - 5G
    - 5G
      
      企業で5Gを活用した新たなネットワーク導入が進んでいます。5G/ローカル5Gシステムを保護するエンドツーエンドのサイバーセキュリティをご紹介します。
      詳しくはこちら
- 中堅・中小企業向けセキュリティ
  - 中堅・中小企業向けセキュリティ
    
    最新の技術と少ない人的リソースで、最新の脅威から防御
    詳しくはこちら
製品・ソリューション
- エンタープライズサイバーセキュリティプラットフォーム
  - エンタープライズサイバーセキュリティプラットフォーム
    - Trend Vision One
      
      エンタープライズサイバーセキュリティプラットフォーム
      
      EDRを進化させたXDRでIT環境、OT環境を保護
      詳しくはこちら
  - Trend Companion
    - Trend Companion
      
      AIサイバーセキュリティアシスタント
      詳しくはこちら
- Cyber Risk Exposure Management
  - Cyber Risk Exposure Management
    
    潜在的なリスクの可視化によるインシデントの予防
    詳しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    脅威の全体像を可視化し、的確なインシデント対応を可能に
    詳しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
      詳しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      詳しくはこちら
  - Conformity:クラウドの設定状況を可視化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ維持とコンプライアンス対応
      詳しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
      詳しくはこちら
  - File Security:クラウドストレージのウイルス対策
    - File Security
      
      アプリケーションのワークフローやクラウドストレージを高度な脅威から保護
      詳しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
      詳しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - Trend Micro Deep Security™
      
      物理・仮想・クラウド環境のサーバ保護
      詳しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Micro Apex One（EPP）
    - Trend Micro Apex One（EPP）
      
      多層の機能によりエンドポイントを強固に保護
      詳しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技術と少ない人的リソースで、最新の脅威から防御
      詳しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの脅威に対するオンプレミスおよびSaaSによる保護
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      詳しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応によるXDRの実現
      詳しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
      詳しくはこちら
  - 標的型攻撃対策
    - 標的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展開を試みる標的型攻撃の検知、インシデントレスポンスをサポート
      詳しくはこちら
  - ゼロトラスト/SWG/CASB
    - ゼロトラスト/SWG/CASB
      
      継続的なリスク評価で「信頼」を再定義し、デジタルトランスフォーメーションを保護
      詳しくはこちら
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
  - 5Gネットワークセキュリティ
    - 5Gネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5Gネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、標的型攻撃を阻止
      詳しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One™
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      詳しくはこちら
- OTセキュリティ
  - OTセキュリティ
    - OTセキュリティ
      
      サイバーセキュリティによりOT環境の整合性、安全性、稼働時間を維持
      OTセキュリティ
  - ICS/OTセキュリティ
    - ICS/OTセキュリティ
      
      工場などのOT環境の継続的な安定稼働を実現
      ICS/OTセキュリティ
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
- Identity Security
  - Identity Security
    
    アイデンティティを包括的に保護
    詳しくはこちら
- ソブリンアンドプライベートクラウド
  - Trend Vision One Sovereign and Private Cloud
    
    データ主権を損なうことなく、防御、検知、対応、保護を実現
    詳しくはこちら
- 製品一覧・体験版
  - 製品一覧・体験版
    詳しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      詳しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      詳しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      詳しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      詳しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      詳しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      詳しくはこちら
  - サイバーリスクインデックス（CRI）
    - サイバーリスクインデックス（CRI）
      詳しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One Complete
      詳しくはこちら
  - Trend Service One Complete
    - Trend Service One Complete
      
      サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
      詳しくはこちら
  - Trend Service One Essentials
    - Trend Service One Essentials
      
      トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
      詳しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
      詳しくはこちら
パートナー
- パートナーになる
  - パートナーになる
    - パートナーになる
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      詳しくはこちら
  - MSPパートナー
    - MSPパートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - CSPパートナー
    - CSPパートナー
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します
      詳しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
    詳しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの課題解決やパートナーエコシステムにおける強み・サービス・事例など、パートナー各社の特色をご紹介します
      詳しくはこちら
  - MSPパートナーを探す
    - MSPパートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - CSPパートナーを探す
    - CSPパートナーを探す
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「Trend Micro マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      詳しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご紹介します
      詳しくはこちら
  - パートナープログラムのご紹介
    - パートナープログラムのご紹介
      
      パートナーさま向け各支援プログラムをご紹介します
      詳しくはこちら
  - パートナーポータルのご紹介
    - パートナーポータルのご紹介
      
      登録制のWebサイト「パートナーポータル」ではパートナーさまの販売活動にご活用いただけるコンテンツをご用意しております。
      詳しくはこちら
  - 流通パートナー
    - 流通パートナー
      詳しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご紹介します
      詳しくはこちら
会社概要
- Why Trend Micro
  - Why Trend Micro
    - Why Trend Micro
      詳しくはこちら
  - トレンドマイクロの特長
    - トレンドマイクロの特長
      詳しくはこちら
  - 導入事例
    - 導入事例
      詳しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      詳しくはこちら
  - 業界における評価
    - 業界における評価
      詳しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      詳しくはこちら
  - セキュリティへの取り組み
    - セキュリティへの取り組み
      詳しくはこちら
  - 企業理念・沿革
    - 企業理念・沿革
      詳しくはこちら
  - サイバーセキュリティ・イノベーション研究所
    - サイバーセキュリティ・イノベーション研究所
      サイバーセキュリティ・イノベーション研究所
  - ダイバーシティ・エクイティ＆インクルージョン
    - ダイバーシティ・エクイティ＆インクルージョン
      詳しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      詳しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      詳しくはこちら
  - 子ども・保護者向けセキュリティ教育
    - 子ども・保護者向けセキュリティ教育
      詳しくはこちら
  - NEOMマクラーレンフォーミュラE
    - NEOMマクラーレンフォーミュラE
      詳しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      詳しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      詳しくはこちら
- ニュース、投資家向け情報、採用情報
  - ニュース、投資家向け情報、採用情報
    - ニュース、投資家向け情報、採用情報
      詳しくはこちら
  - プレスリリース
    - プレスリリース
      詳しくはこちら
  - 投資家向け情報
    - 投資家向け情報
      詳しくはこちら
  - 採用情報
    - 採用情報
      詳しくはこちら
  - イベント・セミナー
    - イベント・セミナー
      詳しくはこちら
  - ウェビナー
    - ウェビナー
      詳しくはこちら
  - お知らせ
    - お知らせ
      詳しくはこちら

個人のお客さまはこちら

お問い合わせ

購入・更新

サポート

リソース

ログイン

arrow_back

search close

Zerologon

Zerologonとは

Zerologonとは、MicrosoftのNetlogonプロセスの暗号化における脆弱性であり、Microsoft Active Directoryドメインコントローラに対する攻撃を可能にします。Zerologonを利用すると、ハッカーはルートドメインコントローラを含む任意のコンピュータになりすますことができます。

Zerologonの概要
この脆弱性がどのように確認されたか
攻撃のメカニズム
世界的な影響
CVE-2020-1472のパッチ
仮想パッチ

Zerologonの概要

Zerologonとは、CVE-2020-1472として識別される脆弱性に付けられた名前です。

この危険な脆弱性には、Common Vulnerability Scoring System (CVSS)により、10段階の重大度（CVSS v3.1）で10が割り当てられました。アクティブな攻撃実証コード（PoC）が確認されており、実際の攻撃がまもなく発生する可能性が非常に高くなっています。詳しくはこちら。

CISA（Cybersecurity and Infrastructure Security Agency）は、影響を受けたすべてのWindowsサーバに直ちにパッチを適用するか、無効化することを連邦行政機関に命じる緊急指令を発出し、非政府組織にも同様の措置を講じるよう警告しました。Microsoftが2020年8月にリリースした最初の2つのパッチは、すべてのドメインコントローラに適用する必要があります。

この脆弱性では、Microsoft Active Directory Netlogon Remote Protocol (MS-NRPC)の暗号化の不具合が悪用されます。これにより、ユーザはNT LAN Manager（NTLM）を使用しているサーバにログオンできます。

この脆弱性の最大の問題は、MS-NRPCがコンピュータサービスアカウントのパスワード変更などにも使用されることです。過去に遡って検討すれば、この機能を追加した理由を理解することはできますが、パスワードの変更に対する要求元が確認されないことは、重大なセキュリティ上の問題となりました。

その起源を振り返ると、この機能が追加された理由を理解できます。ただし、これらのパスワードを変更する要求のソースを検証しないことが、重大なセキュリティ問題となっています。

問題はこれだけではありません。MS-NRPCに追加された暗号化は、適切に選択されていませんでした。1883年にオランダの暗号研究者であるAguste Kerckhoff氏は、暗号システムを設計するための6つの主要な原理の概要を示した「La Cryptographie Militaire（軍事用暗号）」という表題の2つの小論を出版しました。

それらの中で最もよく知られているケルクホフスの原理は、「暗号システムは、秘密鍵以外の全てが公になったとしても、なお安全性が確保されるべきである」とする原理のことです。これは、暗号システムの機密性が「暗号のアルゴリズム自体が知られないこと」に依存するのではなく、よく知られ、十分にテストされた上で機密性が保証されたものである必要があることを指しています。

Windows NTのログオンプロセスを暗号化するために当初使用されていたアルゴリズムは、現在、問題が確認されている2DESでした。今日、MS-NRPCでは、暗号化のベンチマークとみなされるAdvanced Encryption Standard (AES)が使用されています。

実証済みの強力なアルゴリズムの選択に加えて、十分な強度を確保するために、追加の設定を選択しなければなりません。MS-NRPCでは、AES-CFB8 (Advanced Encryption Standard –Cipher Feed Back 8 bit)と呼ばれる不明確な設定が使用されています。AESCFB8が不明確であるのは、既知ではなく、十分に検証されてもいないためです。

MS-NRPC内でのAES CFB8には、初期化ベクトル（IV）の問題がありました。これは乱数にする必要がありますが、MSNRPCでは16バイトのゼロの値に固定されていました。これは、まったくランダムではなく、予測可能です。多くの場合、暗号化は予測可能な場合に破られます。

この脆弱性がどのように確認されたか

この脆弱性は、Securaに所属しているオランダの研究者Tom Tervoort氏によって、2020年9月に発表されました。この脆弱性に対して8月には実際にパッチがリリースされましたが、PoCやその他の活動が確認され始めたのは、この研究者が9月にレポートを公開した後（Tervoort氏の論文で脆弱性の発見と発見に至るプロセスが詳述された後）でした。

研究中に、Tervoort氏はMS-NRPCに関する情報が極めて不足していることに気付きました。興味を持ったTervoort氏は、さらに多くの情報を収集しました。

Tervoort氏は、初めに中間者攻撃を検証している間に、CVE-2020-1424に詳述される別の脆弱性を見つけました。研究を続けることにより、Tervoort氏は現在Zerologonと呼ばれている脆弱性を特定しました。

その発見の重要な部分は、Microsoftが、すべての他のRPCプロトコルとは異なる独自のタイプの暗号化を実装していたことです。Windows NTの時代では、コンピュータに割り当てられたアカウント認証は、ケルクホフスの原理を満たしていませんでした。つまり、Microsoftは標準化されたKerberosまたはNTLMを使用してコンピュータまたはマシンのアカウントを認証できませんでした。

このため、開発者は代替手段を考案しました。破ることのできない暗号化のコードやプロトコルを作成することは極めて困難です。実際、本件のように、不具合が発見されるまでに極めて長い時間がかかることもあります。

攻撃のメカニズム

この脆弱性のために、攻撃者は、ルートDCを含むドメインコントローラ（DC）の制御権を取得できます。これは、コントローラ上でサービスアカウントのパスワードを変更するか削除することによって取得されます。次に、攻撃者は、サービス拒否攻撃を仕掛けるか、ネットワーク全体を乗っ取ることができます。

攻撃者がこの脆弱性を悪用するには、DCとの伝送制御プロトコル（TCP）セッションをセットアップできなければなりません。それらが物理的にネットワーク内にある場合は、ユーザのデスクにあるか、会議室などの場所の開いているポートにある可能性があります。

このような攻撃コードは、インサイダー攻撃とみなされます。これは、今日の企業にとって特に被害の大きい攻撃です。攻撃者は、コントローラに対するTCPセッションを確立するための足掛かりを得ることができる限り、ネットワークの外部からセッションを確立することができます。

16バイトのゼロからなる固定IVでAESCFB8を使用することにより、Tervoort氏は、使用される256の鍵あたり1つで、値がすべてゼロの暗号文が生成される可能性があることを発見しました。これは、極めて少ない数の鍵であり、攻撃者はすべてゼロの暗号文の作成を容易に試みることができます。攻撃者のコンピュータでこれを実行するには、最大2～3秒しかかかりません。

なぜこれが問題なのでしょうか？

DCと通信しているマシンが通常のユーザによって使用されている限り、実際上問題はありません。構造に問題のある暗号文が生成されますが、ネットワーク認証処理は機能します。この問題は、攻撃者がシステムを悪用しようとした場合にのみ発生します。

Tervoort氏によって証明された攻撃において、攻撃者はまずネットワーク上のクライアントの認証情報（パスワード）を偽装しなければなりません。MS-NRPCではIVの実装に問題があるため、たった256回程度の試行で正しいパスワードを見つけることができます。

通常、ユーザのアカウントはパスワードを推測しようとして3回入力した後にロックされますが、コンピュータやマシンのアカウントはロックされません。コンピュータがログオンする場合には、正しくないパスワードの試行回数に制限が設定されていないため、攻撃者は、侵入するために短時間に連続して何度も試行することができます。攻撃者は、すべてゼロの暗号文を生成する鍵の1つを見つける必要があります。

ネットワーク上のコンピュータのIDを偽装した後に、攻撃者は何ができるでしょうか？IDを偽装する最初のステップが完了しても、攻撃者はセッションの実際の暗号鍵を知りません。攻撃者にとって可能なのは、すべてゼロの暗号文を生成する256の鍵のうちの1つを最終的に見つけることによって、自らのIDを偽装することだけです。次のステップは「署名（signing）と秘匿（sealing）」を無効にすることです。

RPCの署名捺印は、MS-NRPC内で転送の暗号化に使用されるメカニズムです。転送中のデータをさらに暗号化する必要があるため、これは論理的なプロセスのように見えます。ただし、MS-NRPC内では、これはオプションの機能であり、メッセージのヘッダーにフラグを設定しないだけでオフになってしまいます。

署名捺印がオフになると、メッセージは平文で送信されるようになります。ハッカーは、パスワードを削除したりそれを別の値に設定したりするなどの、必要なアクションを実行できます。2021年2月に、マイクロソフトは、署名捺印を必須とするパッチをリリースする予定です。

第3のステップでは、偽装したアカウントのパスワードが変更されます。偽装するのが最も効果的なデバイスはADサーバであり、ルートADサーバであればさらに好都合です。パスワードを変更するために、攻撃者はMSNRPC内のメッセージNetServerPasswordSet2を使用します。

使いたい新たなパスワードとともにフレームを送信するだけで、パスワードを変更できます。最も簡単な方法は、パスワードを削除するか、空白の値に設定することです。これにより、攻撃者は、通常のプロセスでログインできるようになります。

ネットワーク上のランダムなあるコンピュータが標的となった場合、そのコンピュータはログインできなくなります。つまり、この攻撃の結果、初めにそのコンピュータに対してサービス拒否攻撃が実行されます。

世界的な影響

現在、複数のPoC攻撃コードが公開されています。ADサーバにパッチが適用されていない場合、攻撃によってネットワークにランサムウェアが侵入して、企業は甚大な被害を受ける恐れがあります。

サーバが被害を受けやすいかどうかをチェックするツールが用意されています。Tervoort氏とSecuraは、ドメインコントローラにパッチが適用されているかどうかを検証し、脆弱性の有無を検出するツールをGitHubに公開しました。

CVE-2020-1472のパッチ

2020年8月に、MicrosoftはCVE-2020-1472（Zerologon）のパッチをリリースしました。すべてのADサーバ（2008 R2以上）には、できるだけ早くパッチを適用する必要があります。しかし、パッチのリリースから導入までの平均期間は依然として長すぎます。

研究者は、平均的な組織で、パッチのリリースから最終的な適用まで60～150日（約5か月）かかると指摘しています。迅速なパッチ適用が難しいケースにおいて、この脆弱性のパッチが実装される時期が２０２１年まで先延ばしとなることも予想されます。

残念ながら、新たに発行されたパッチは、この問題を全体的に修正するものではありません。Microsoftは2021年2月の始めに第2フェーズのパッチをリリースする予定です。

その時点で、すべてのデバイスはセキュリティで保護されたチャネルモードを使用することが必要になります。そのようにしないと、アクセスが拒否されるようになります。旧式の非準拠デバイスがある場合は、非準拠デバイスへのアクセスを明示的に許可するグループポリシーを手動で追加する必要があります。

仮想パッチ

リリースされたパッチでは問題の半分しか解決されないため、ネットワーク、デバイス、データを保護するために追加の暫定的な対策を講じる必要があります。このような防御対策の1つは、脆弱性の有無を確認することです。SecuraとTervoort氏によって提供されたツールを含め、ADサーバ上のZerologon脆弱性を検出するために、複数のツールがすでに提供されています。

従来のセキュリティ対策も、侵害されたアカウントやネットワーク、悪意のあるトラフィック、その他の侵害の痕跡を監視するために必ず適用する必要があります。ランサムウェアなどのセキュリティ脅威を監視するために、ネットワークとホストデバイス（すべてのエンドポイント）に対する侵入防御システム（IPS）と不正プログラム対策ソフトウェアは不可欠です。

さらに、SIEMによってログの収集、一元化、分析を行う必要があります。ログを分析した後、侵害の痕跡（IoC）に対応するために、人員とプロセスを配置しなければなりません。次に、強力な手順と知識を備えたインシデント対応チームが対応作業を引き継いで、侵害の範囲と解決に向けた取り組みについて決定を下す必要があります。たとえベンダのパッチが利用可能であっても、多くの顧客は、パッチを展開し、追加のセキュリティ対策を実装して環境を保護するために、さらなる時間が必要です。

また、仮想パッチという対策も有効です。これは、既知および未知の脆弱性を悪用する脅威に対する安全対策です。トレンドマイクロのZero Day Initiative（ZDI）では、これまでの実績からZerologonのような脆弱性への攻撃を防止する仮想パッチ作成の支援によって、正式なパッチがリリースされる平均81日前からお客さまの保護を実現します。

ベンダからパッチが提供されても、多くのお客さまは自社の環境を保護するために、そのパッチの導入と追加のセキュリティ対策を実装する時間が必要となります。IPSなどのツールを使用した仮想パッチの概念により、管理者やセキュリティの専門家は、脆弱性に対するリスク対応で追加のツールを備えることができます。

これはネットワークを保護するために重要な時間を確保するのに役立ちます。ベンダのパッチ適用は、引き続き推奨される緩和策です。仮想パッチソリューションは、パッチが適用されていないマシンを保護するのに役立ちます。多くの場合に、ログ検査などの機能を通じて、ネットワークでのパッチ適用後の悪用の試みに関する貴重な洞察も得られます。

この脆弱性に対処するためのベストプラクティスと当社で支援できることについての詳細は、次のナレッジベース記事を参照してください。